none
Отказ в доступе при использовании Group Policy Result Wizard RRS feed

  • Общие обсуждения

  • Добрый день..
    Имеется Windows 2003SP2, рабочие станции Windows XP SP2,3.
    При попытке использования Group Policy Result Wizard в оснастке Group Policy management стало вываливаться сообщение об отказе в доступе "You don't have permission to perform this operation".
    Никак не могу понять в чем дело, т.к. никаких действий связанных с переназначением/назначением не проводил..
    Подскажите, в какую сторону смотреть?
    Заранее спасибо!

    5 апреля 2009 г. 8:01

Все ответы

  • Ошибка стала выдаваться ни с того ни с сего? Или же что-то все-таки делалось перед е появлением? В частности, проблема может возникать из-за фарйволла. Отключите его на время и попробуйте запустить мастер снова. Также подобная ошибка может выпадать при запуске мастера с клиентской машины. Причина чаще всего - выполнение не от имени администратора домена.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    6 апреля 2009 г. 5:18
    Модератор
  • Именно, что ни с того, ни с сего )  Я не проводил никаких действий связанных с назначением/изменением прав...
    Файрвол отключил.
    Мастер запускал на самом сервере из под администратора... ситуация таже

    6 апреля 2009 г. 7:59
  • запустите dcdiag. результаты тестов в студию. Описание утилиты тут http://technet.microsoft.com/ru-ru/library/cc776854.aspx


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    6 апреля 2009 г. 10:09
    Модератор
  • Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site-Name\XXX
          Starting test: Connectivity
             ......................... XXX passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site-Name\XXX
          Starting test: Replications
             ......................... XXX passed test Replications
          Starting test: NCSecDesc
             ......................... XXX passed test NCSecDesc
          Starting test: NetLogons
             ......................... XXX passed test NetLogons
          Starting test: Advertising
             ......................... XXX passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... XXX passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... XXX passed test RidManager
          Starting test: MachineAccount
             ......................... XXX passed test MachineAccount
          Starting test: Services
             ......................... XXX passed test Services
          Starting test: ObjectsReplicated
             ......................... XXX passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... XXX passed test frssysvol
          Starting test: frsevent
             ......................... XXX passed test frsevent
          Starting test: kccevent
             ......................... XXX passed test kccevent
          Starting test: systemlog
             ......................... XXX passed test systemlog
          Starting test: VerifyReferences
             ......................... XXX passed test VerifyReferences
      
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
      
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : xxx
          Starting test: CrossRefValidation
             ......................... xxx passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... xxx passed test CheckSDRefDom
      
       Running enterprise tests on : xxx.xxxxx.ru
          Starting test: Intersite
             ......................... xxx.xxxxx.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... xxx.xxxxx.ru passed test FsmoCheck

    6 апреля 2009 г. 12:03
  • Посмотрите, кто является членом группы Group policy Creator Owner (желателен скриншот). Есть ли там учетка доменного админитратора?  Выполните gpresult > c:\gp.txt от имени пользователя, под которым вы запускаете мастер и содержимое выведенного файла - в студию. Мастер запускается в корневом домене или в дочернем?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    6 апреля 2009 г. 12:49
    Модератор
  • Прошу прощения, если туплю, но как можно вставлять вложения? :-(
    6 апреля 2009 г. 14:33
  • выложите на сторонний хостинг и поместите здесь ссылку))
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    7 апреля 2009 г. 5:10
    Модератор
  • Скриншот Group policy Creator Owner прилагаю:
    http://img9.imageshack.us/img9/2857/97775636.jpg


    gpresult
    http://uploadbox.com/files/ece34130e1

    Домен корневой.
    7 апреля 2009 г. 7:38
  • Вы можете создавать и редактировать групповые политики с помощью данной оснастки? Каковы параметры безопасности на файл gpoadmin.dll и gpmc.msc? Если можно ,скриншоты создания политик и параметров безопасности в студию. Можете ли показать Default domain policy либо политику, применяемую к данному контроллеру домена и к данному пользователю, тоже в виде скриншотов? ТАкже нужны скриншоты локальной политики контроллера (Раздел Computer Settings-local policy-user rights assignment, свойства должны быть развернуты по максимуму). Какая у вас версия gpmc.msc и mmc? Рекомендуется установить последние версии, в частности на gpmc.msc должен быть установлен SP1

    И сделайте, пожалуйста, скриншот самой ошибки) 
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    7 апреля 2009 г. 8:27
    Модератор
  • Спасибо за помощь!!

    > Каковы параметры безопасности на файл gpoadmin.dll и gpmc.msc?
    Administrators, System - полный доступ
    Authentificated users - чтение/выполнение, чтение
    Server operators - Изменить, Чтение/выполнение, чтение, запись

    > скриншоты локальной политики контроллера (Раздел Computer Settings-local policy-user rights assignment, свойства должны быть развернуты по максимуму
    http://img25.imageshack.us/img25/8668/83714212.jpg
    http://img25.imageshack.us/img25/9474/66958541.jpg

    > Какая у вас версия gpmc.msc и mmc? Рекомендуется установить последние версии, в частности на gpmc.msc должен быть установлен SP1
    gpmc.msc - 1.0.2
    mmc - 3.0

    > Если можно ,скриншоты создания политик и параметров безопасности в студию. Можете ли показать Default domain policy либо политику, применяемую к данному контроллеру домена и к данному пользователю, тоже в виде скриншотов?

    А что именно нужно смотреть?

    7 апреля 2009 г. 12:02
  • Добрый день..
    Имеется Windows 2003SP2, рабочие станции Windows XP SP2,3.
    При попытке использования Group Policy Result Wizard в оснастке Group Policy management стало вываливаться сообщение об отказе в доступе "You don't have permission to perform this operation".
    Никак не могу понять в чем дело, т.к. никаких действий связанных с переназначением/назначением не проводил..
    Подскажите, в какую сторону смотреть?
    Заранее спасибо!


    уточните в какой момент вываливается ошибка? сам мастер совсем не запускается или в процессе его выполнения появляется ошибка?
    8 апреля 2009 г. 4:12
  • Ошибка проявляется после выбора удаленной рабочей станции, для которой нужно сделать rsop, если делать rsop для localhost все происходит без проблем (и сервер и рабстанции в одном домене)
    • Изменено NFS 8 апреля 2009 г. 7:42 опечатка
    8 апреля 2009 г. 7:40
  • NFS, значит нет прав на генерацию WmiRsop данных на удаленной машине.. ,
    если генерируется rsop planing mode.. то необходимы права для генерации wmirsop на DC...

    подробнее про rsop http://technet.microsoft.com/en-us/library/cc758010.aspx

    mcp, mcdba, mcsa, mcse, ccna
    8 апреля 2009 г. 7:52
  • Ошибка проявляется после выбора удаленной рабочей станции, для которой нужно сделать rsop, если делать rsop для localhost все происходит без проблем (и сервер и рабстанции в одном домене)

    вот теперь все по другому конечно, тут большинство поняли что ошибки появляются в тот момент когда вы визард запускаете, поэтому и права проверяли на его dll'ки. Теперь дальше, на неcколько машин пробовали выбирать на всех ошибки? или только на одном? есть ли в локал админах скажем на удаленной машине тот пользователь, под которым вы запускаете оснастку GroupPolicy? срабатывает ли если RsoP сделать только на юзера, а не на машину? (поставить галочку в визарде где выбор машины, что только для юзера)
    8 апреля 2009 г. 9:55
  • Да, прошу прощения неточно сформулировал )

    сейчас проверяю согласно Group Policy Settings Associated with RSoP
    Ошибка происходит на всех станциях, вне зависимости делается на юзера или на машину..
    8 апреля 2009 г. 10:09
  • ПРоверите напишите, если не поможет будем дальше думать :)

    8 апреля 2009 г. 10:54
  • В групповой политике, которая применяется к пользователям домена все Group Policy Settings Asociated with RSoP установлены в НЕ ЗАДАНО.
    8 апреля 2009 г. 14:17
  • NFS , та учетная запись, под которой вы запускаете rsop.msc, входит в группу Администраторы на удаленном компьютере, для которого вы хотите сгенерировать rsop-данные?
    mcp, mcdba, mcsa, mcse, ccna
    8 апреля 2009 г. 14:28
  • Походу заметил еще одну проблему... когда я подключаюсь с сервера через оснастку Computer management к удаленным рабочим станциям..и пытаюсь посмотреть свойства удаленного компа, мне также говорят о отсутствии доступа. Скорее сего отсутствие прав на rsop также связано с этим. (

    > та учетная запись, под которой вы запускаете rsop.msc, входит в группу Администраторы на удаленном компьютере, для которого вы хотите сгенерировать rsop-данные?
    В группе администраторы на локальных компах присутствует группа Domain Admins, в которую входит учетка Administrator под которой я пытаюсь все это делать

    Куда смотреть? ((

    Спасибо
    9 апреля 2009 г. 8:27

  • Куда смотреть? ((

    Спасибо

    я бы посмотрел, в первую очередь в сторону сружбы "Удаленный реестр" на компьютере, к которому производится подключение. Застартована оная?
    11 апреля 2009 г. 10:31
  • Я это тоже посмотрел практически сразу. Служба застартована у всех станций

    12 апреля 2009 г. 5:59